جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
آسیب‌پذیری در سامانه شرکت حمل‌ونقل اینترنتی

دسترسی به اطلاعات کاربران تپسی

پس از هشدار یک کارشناس امنیت سایبری درباره یک حفره امنیتی به مرکز ماهر، اعلام شد که اطلاعات کاربران شرکت حمل‌ونقل اینترنتی تپسی لو رفته‌است.
منبع : تابناک
پس از هشدار یک کارشناس امنیت سایبری درباره یک حفره امنیتی به مرکز ماهر، اعلام شد که اطلاعات کاربران شرکت حمل‌ونقل اینترنتی تپسی لو رفته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، صبح روز پنج شنبه خبری از آسیب‌پذیری امنیتی یک شرکت حمل‌و‌نقل اینترنتی بر سر زبان‌ها افتاد. گفته‌می‌شد که اطلاعات کاربران و رانندگان این شرکت در خطر افشا شدن هستند.

بر اساس این خبرها، صدها هزار صورت‌حساب مربوط به یک شرکت حمل‌ونقل اینترنتی در ایران به‌دلیل امنیت پایین بانک داده آن لو رفته‌است. صورت‌حساب‌های لورفته شامل اطلاعات شخصی، ازجمله نام، نام‌خانوادگی، شماره ملی و تاریخ صورت‌حساب‌ها بود.

ولادیمیر دیاچنکو، کارشناس امنیت سایبری، در جست‌وجوهایش روی بانک‌های داده‌ای که دسترسی عمومی به آنها وجود دارد، متوجه‌می‌شود که اطلاعات بانک داده یک شرکت حمل‌و‌نقل به‌طور عمومی در دسترس است.

پس از اعلام این موضوع از طرف دیاچنکو و تماس او با مرکز ماهر، مسئول امداد و هماهنگی در وقایع سایبری در ایران، امنیت اطلاعات بانک داده‌ افشاشده برقرار شد. وزیر ارتباطات هم آسیب‌پذیری اطلاعات یک شرکت حمل‌و‌نقل را تایید کرده و از پیگیری ماجرا توسط مرکز ماهر خبر داد.
ولادیمیر دیاچنکو گفت که اطلاعات مورد اشاره سه روز به‌طور عمومی روی اینترنت در دسترس بوده‌است. به گفته او ۶.۷ میلیون مدخل اطلاعاتی در دسترس بودند که به‌دلیل تکراری بودن برخی از مدخل‌ها در مجموع بین یک تا دو میلیون صورت‌حساب در بانک داده مذکور وجود داشته که به سال‌های ۱۳۹۵ و ۱۳۹۶ برمی‌گردند.

دیاچنکو همچنین گفت این امکان وجود دارد که بانک داده لو رفته در واقع بانک داده شرکت حمل‌و‌نقل اینترنتی نباشد، بلکه بزهکاران سایبری اطلاعاتی را از یک شرکت دزدیده و در ذخیره آن بی‌احتیاطی کردند.

ولادیمیر دیاچنکو، کارشناس امنیت سایبری در جست‌وجوهایش روی بانک‌های داده‌ای که دسترسی عمومی به آنها وجود دارد، متوجه می‌شود که اطلاعات بانک داده یک شرکت حمل‌ونقل به‌طور عمومی در دسترس است.

پیشتر هر دو شرکت اسنپ و تپسی لو رفتن اطلاعات رانندگان‌شان را تکذیب کرده‌اند. تپسی سپس در بیانیه‌ای دیگر گفت که هکرهایی با آدرس آی‌پی از کشور اوکراین به یکی از سرورهای آن نفوذ کردند و «سیستم‌های پیشرفته حفاظتی» اجازه نفوذ بیشتر را به آنها ندادند.

این شرکت همچنین در بیانیه‌اش گفت که با «محدودیت‌های ناشی از تحریم‌های فناوری» مواجه بوده‌است. هرچند اشاره نکرده‌است که تحریم‌های ادعایی چه ارتباطی با نشت اطلاعات رانندگانش دارد: «با بررسی دقیق‌تر موضوع، تیم امنیت تپسی متوجه تلاش برای تعدادی نفوذ با منشاء خارجی به سرورهای این شرکت شد که فقط یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته‌است که فاکتورهای ۶۰هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های ۹۵ و ۹۶ روی آن نگهداری می‌شدند. سیستم‌های پیشرفته حفاظتی تپسی اجازه نفوذ بیشتر به سرورهای اصلی را نداده‌اند. منشا و هدف اصلی این نفوذ خارجی برای تپسی مشخص نیست و همکاری تیم امنیت تپسی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.»

نکته مهم اینجاست که تپ‌سی تعداد رانندگانی را که اطلاعات آنها در فاکتورهای سال ۹۵ و ۹۶ وجود داشته ۶۰ هزار نفر بیان کرده‌است؛ چراکه تعداد افرادی که اطلاعات‌شان به‌دلیل وجود آسیب‌پذیری امنیتی در معرض خطر بوده، روز گذشته محل بحث بود.

باب دیاچنکو، پژوهشگر امنیتی شرکت Security Discovery، اعلام کرده‌بود که حدود ۶.۸ میلیون فاکتور در این دیتابیس وجود دارد، اما این اطلاعات مربوط به سفرهای انجام‌شده است و نمی‌توان دقیقاً گفت که اطلاعات چه تعدادی راننده  در معرض خطر بوده‌است. اما حالا تپ‌سی این عدد را ۶۰ هزار نفر اعلام کرده‌است. در دیتابیس آسیب‌پذیر، اطلاعاتی مانند نام و نام‌خانوادگی راننده، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش وجود داشته است.

از سوی دیگر تپسی در بیانیه‌اش خبر از تلاش برای نفوذ به سرورها و هک اطلاعات می‌دهد در حالی که پژوهشگر امنیتی Security Discovery، اعلام کرده‌بود که این دیتابیس از نوع مانگودی‌بی را از طریق موتور جست‌وجوی BinaryEdge کشف کرده و از همان زمان هم تلاش داشته تا اطلاعات را برای مرکز ماهر ایران ارسال کند. با این حال به نظر می‌رسد که تپسی همچنان عقیده دارد که یکی از سرورهای جانبی مورد نفوذ قرار گرفته‌است.

اطلاعات ۶۰ هزار راننده فعال در تپسی به شکل عمومی منتشر نشده‌است. به شکل خلاصه، یکی از دیتابیس‌های جانبی تپ‌سی آسیب‌پذیر و رمزگذاری‌نشده بود. یک کارشناس امنیتی این آسیب‌پذیری را با استفاده از یک موتور جست‌وجوی مخصوص کشف می‌کند و سپس تلاش می‌کند با مرکز ماهر و اسنپ و تپسی تماس بگیرد تا مشکل را حل کنند. در واقع خطر انتشار عمومی این دیتابیس وجود داشته‌است. آن‌طور که همین پژوهشگر امنیتی می‌گوید مشکل اکنون حل شده و دیتابیس امن است. در حال حاضر نیز به نظر می‌رسد تنها کسانی که به دیتابیس ۶۰ هزار راننده فعال تپسی دسترسی دارند، خود پژوهشگر امنیتی، پلیس فتا و مرکز ماهر باشند.

بیانیه منتشر شده از سمت شرکت تپسی به شرح زیر است:
پس از این واقعه محمدجعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات ایران، در مصاحبه‌ای گفت: اگر لایحه صیانت از داده‌های شخصی که نزدیک پنج‌ماه است در کمیسیون فرعی هیئت دولت مطرح شده، زودتر تصویب شود، قطعا از پیش آمدن مسائل این چنین جلوگیری خواهدکرد. ما در این مورد با چند چالش رو‌به‌رو هستیم که مدت‌هاست از سوی حقوق‌دان‌های حوزه آی‌تی پیگیری می‌شود. سازمان فناوری اطلاعات ایران و مراکز دیگر، پیگیر این مسئله هستند اما برای رسیدن به نتیجه، نیاز است سازمان‌های مختلف به شکل جمعی به این مسئله ورود کنند.

نعناکار با اشاره به این مسئله که تاکسی‌های اینترنتی در ایران همواره با مشکل مجوز روبه‌رو هستند، گفت: سوال اصلی این است که تاکسی‌های اینترنتی باید از چه نهادی مجوز دریافت کنند؟ چیزی که قانون در باب حوزه تاکسی‌های اینترنتی مطرح می‌کند این است که سازمان تاکسی‌رانی باید مجوز فعالیت آنها را صادر کند.

وی افزود: هر نوع عملیات درون شهری که قرار است اتفاق بیفتد باید از سوی سازمان تاکسی‌رانی مورد بررسی قرار بگیرد و ممیزی‌های لازم در خصوص رانندگان، شیوه کار و پلتفرم اعمال شود. در واقع موضوع اصلی بحث در این حوزه، پلتفرم‌ها هستند که نقص‌های جدی متوجه آنهاست.

این کارشناس حقوقی ادامه داد: از آن جایی که پلتفرم‌های ارائه خدمات تاکسی اینترنتی اطلاعات راننده، بخشی از اطلاعات مسافر و نیز آدرس‌های افراد را دریافت و ضبط می‌کنند، نیاز است که روی شیوه کار آنها بررسی‌هایی صورت بگیرد، بررسی‌هایی که موجب می‌شود هم امنیت این داده‌ها حفظ و هم کارکرد نرم‌افزارها تایید شود.

مدیرکل حقوقی سازمان فناوری اطلاعات با اشاره به این که مراکزی در ایران هستند که روی این مسائل کار می‌کنند، افزود: سازمان «افتا» که کار اصلی آن صدور گواهی‌های امنیت است و شورای عالی انفورماتیک سابق (در حال حاضر وظایف آن به سازمان فناوری اطلاعات ایران منتقل شده) که تاییدیه فنی نرم‌افزارها را صادر می‌کند و همین‌طور سازمان نظام صنفی رایانه‌ای کشور که به این پلتفرم ها گواهی فعالیت می‌دهد، مجموعه‌هایی هستند که روی چنین مسائلی کار می‌کند.

وی افزود: اگر نهادهای مرتبط همکاری لازم را انجام دهند و با یکدیگر برای صیانت از مردم هم‌کلام شوند، اتفاقات خوبی رخ خواهد داد. در حال حاضر طبق اخبار منتشر‌شده، نزدیک هفت میلیون رکورد لو رفته‌است و به نظر من این فاجعه امنیتی در حوزه داده‌های شخصی است.

نعناکار این مسئله اشاره کرد که باید دادستانی به موارد این‌چنین ورود کند: دادستانی باید به عنوان مدعی‌العموم زودتر از بقیه به مسائل این چنین ورود کند. این طور نباشد که یک خبری پخش شود و بعد از چند ساعت و چند روز منتظر واکنش این دستگاه باشیم.

نکته مهم این است که اگر فعالیتی نیز صورت بگیرد مردم آن را حس نمی‌کنند، ممکن است میان دستگاه‌ها نامه و دستوری ردوبدل شود، اما مردم متوجه این پیگیری‌ها نمی شوند. در حالی که آنها اولین کسانی هستند که باید بدانند نهاد و مجموعه‌ای برای صیانت از داده‌های شخصی آنها قدم برداشته و به این واسطه امنیت روانی‌شان تضمین شود.

مدیر کل حقوقی سازمان فناوری ایران در پایان گفت: در موضوع این آسیب‌پذیری امنیتی، احتمالا عمدی در بین نبوده و صرفا قصوری رخ داده‌است، اما به هر حال این مسائل باید شناسایی و اقدامات قضایی در خصوص آن صورت بگیرد.
کد مطلب : 15253
https://aftana.ir/vdcfm0dy.w6dttagiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی